HackerNews 编译，转载请注明出处： 应用开发者迎来利好消息：谷歌将放宽限制，允许更便捷地将用户引导至其安卓生态系统之外完成购买交易。 欧盟委员会多年来持续调查谷歌涉嫌违反《数字市场法案》（DMA）的行为。其中一项调查聚焦该公司是否限制应用开发者向用户告知Google Play商店之外的优惠信息；另一项则审查谷歌是否在搜索服务中偏袒自有垂直搜索引擎（如Google Hotels、Google Flights和Google Shopping），损害竞争对手利益。 2025年3月，欧盟委员会指控谷歌母公司Alphabet通过技术手段阻止开发者引导消费者通过其他渠道获取更优惠服务，且为开发者获取新客户所收取的费用“超出合理范围”。 作为回应，谷歌承诺调整政策：降低开发者费用并增加引导用户至外部链接的“灵活性”。该公司在声明中表示：“作为持续遵守欧盟《数字市场法案》的一部分，我们已对‘外部优惠计划’进行更新，在为开发者提供更大灵活性的同时，兼顾生态系统的信任与安全需求。” 谷歌欧洲、中东及非洲区高级竞争顾问克莱尔·凯利对此持保留态度，但仍承诺执行新规：“尽管我们仍然担心这些变化可能使安卓用户接触有害内容并降低应用体验，但根据与欧盟委员会的DMA讨论，我们正更新欧盟地区的外部优惠计划，调整费用结构并为开发者提供更多选项。” 2024年9月，欧盟法院因谷歌偏袒自有垂直搜索服务处以24.2亿欧元罚款。谷歌并非唯一因违反DMA遭罚的美国科技企业——2025年4月，苹果公司因限制应用开发者将消费者引导至App Store外部优惠渠道，被欧盟委员会罚款5亿欧元。苹果已宣布将提起上诉。同期，Meta也因违反《数字市场法案》被罚2亿欧元。Meta在声明中称：“欧盟委员会试图打压成功的美国企业，却允许中欧公司按不同标准运营。”       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国于8月21日宣布新一轮制裁措施，矛头直指吉尔吉斯斯坦境内被控协助俄罗斯规避制裁的金融机构与加密网络。 此次英国制裁与美国行动形成呼应，针对为乌克兰战争输送资金、支持克里姆林宫海外恶意活动及俄罗斯勒索软件生态的实体。此前，美国官员本月早些时候已对多家加密货币交易所更新制裁，包括支撑吉尔吉斯斯坦加密代币A7A5的基础设施——英国政府称该代币“专为规避西方制裁而设计”。 制裁目标包括吉尔吉斯斯坦公司Old Vector（发行A7A5代币的主体）。据Chainalysis报告，该公司自成立以来“处理资金逾510亿美元”。英国外交部声明补充道，制裁还覆盖“吉尔吉斯斯坦的Capital银行及其董事坎特米尔·查尔巴耶夫，俄罗斯利用该银行为军事物资付款”。这些实体在英资产已被冻结。 英国制裁事务大臣斯蒂芬·道蒂警告，克里姆林宫正试图通过“可疑加密网络”为乌克兰战争筹资。他表示新措施将在“关键时刻持续向普京施压，打击用于向战争金库输送资金的非法网络”。 根据“有组织犯罪与腐败报告项目”（OCCRP）调查，被制裁实体还与乔治·罗西存在关联。英国国家犯罪调查局认定此人是一个庞大俄罗斯洗钱体系的核心人物，该体系使用者包括跨国毒贩、网络罪犯、规避制裁的莫斯科精英，甚至克里姆林宫间谍机构。 英国此次行动还延伸至美国早前对Keremet银行的制裁，新增制裁对象为总部位于卢森堡的Altair控股公司（该公司去年收购了Keremet银行的控股权）。尽管美国制裁仍是最有力工具（因国际美元交易均需经纽约清算），但英国制裁将阻断相关实体获取伦敦的金融与法律服务。 “若克里姆林宫认为能通过可疑加密网络洗白交易来缓解我方制裁——他们大错特错，”道蒂强调，“我们将与盟友一道，继续支持美国主导的行动，终结这场非法战争并实现公正持久的和平。”       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在俄罗斯今年举行胜利日阅兵之际，支持克里姆林宫的黑客劫持了一颗为乌克兰提供电视服务的在轨卫星。乌克兰观众看到的不是常规节目，而是从莫斯科传输的阅兵画面：坦克、士兵和武器组成的洪流。这一威慑性信息表明，21世纪的战争不仅发生在陆地、海洋和空中，还延伸至网络空间和外层空间。 卫星：短期内的安全挑战 禁用卫星无需一枪一弹即可造成毁灭性打击——通过攻击卫星安全软件或干扰其与地球的信号传输即可实现。专注于供应链安全的网络安全公司NetRise首席执行官汤姆·佩斯（Tom Pace）指出：“若能阻碍卫星通信能力，就能引发重大混乱。”曾在能源部处理网络事务的海军陆战队退伍军人佩斯补充道：“想想全球定位系统（GPS），若民众失去它，混乱将难以想象。” 目前有超过1.2万颗运行中的卫星环绕地球，它们不仅在广播通信中扮演关键角色，还支撑着军事行动、GPS等导航系统、情报收集和经济供应链。卫星还是导弹发射早期预警的核心，对国家安全构成重大隐患，因而成为削弱对手经济或战备能力的主要目标。支持俄罗斯的黑客劫持乌克兰电视信号，正是此类心理威慑的典型案例。 攻击卫星的薄弱环节 黑客通常瞄准卫星或其与地球通信的软硬件中最脆弱的部分。尽管在轨设备本身可能安全，但过时的软件仍易被利用。2022年俄罗斯入侵乌克兰期间，黑客针对乌克兰政府和军方使用的美国卫星公司Viasat发起攻击。此次被基辅归咎于莫斯科的袭击，通过恶意软件感染数万台调制解调器，导致欧洲大片区域服务中断。 太空核武器威胁 美国国家安全官员透露，俄罗斯正在研发一种基于太空的核武器，旨在一次性摧毁几乎所有低地球轨道卫星。该武器结合物理攻击与核组件：物理冲击波将摧毁更多卫星，而核组件则烧毁其电子系统。美国俄亥俄州共和党众议员迈克·特纳（Mike Turner）公开警告该技术后，美方解密了相关信息。特纳强调，若部署此类武器将违反禁止在太空部署大规模杀伤性武器的国际条约，并可能使低地球轨道长达一年无法使用，导致美国及其盟友面临经济动荡甚至核打击风险。尽管中俄也将损失卫星，但两国对同类卫星的依赖度较低。 特纳将这种尚未部署的武器比作1957年开启太空时代的苏联卫星“斯普特尼克”，并警告：“若此类反卫星核武器进入太空，将是太空时代的终结。这堪比太空版的古巴导弹危机。” 月球资源争夺战 月球和小行星上发现的珍贵矿物可能引发未来冲突，各国正竞相开发新技术和能源。美国国家航空航天局（NASA）代理局长肖恩·达菲（Sean Duffy）本月宣布将向月球运送小型核反应堆，强调需“赶在中国或俄罗斯之前抵达”。月球富含氦-3，科学家认为其可用于核聚变产生巨量能源。伦敦网络安全专家约瑟夫·鲁克（Joseph Rooke）指出，尽管该技术需数十年成熟，但在此期间对月球的控制权将决定新兴超级大国的地位。 中俄已宣布未来几年在月球建设核电站的计划，而美国正推进登月及火星任务。人工智能和能源需求可能加速这场竞赛。俄罗斯驻美使馆未回应置评请求。中国驻美使馆发言人刘鹏宇表示，中国“反对任何地外军备竞赛”，并指责美国“持续扩张太空军力，企图将太空变为战场”。 美国的太空安全应对 各国正争相建立火箭和太空计划以减少对外国卫星的依赖。2019年成立的美国太空军旨在保护美国太空利益及卫星安全。尽管规模小于陆军、海军或空军，但其正在扩张。美军操作的无人驾驶太空飞机X-37B近期结束超过一年的在轨机密任务返回地球。太空军声明强调：“太空是作战域，太空军的职责是通过掌控该领域实现国家安全目标。” 美国在冷战后的太空主导地位如今面临中俄的新威胁。特纳表示，美国必须采取行动阻止中俄取得优势，避免太空武器的恐怖前景成为现实。“我们必须密切关注，防患于未然。”       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国国家情报总监图尔西·加巴德（Tulsi Gabbard）周一表示，英国政府已同意放弃强制要求iPhone制造商苹果公司提供“后门”，该后门本可用于访问美国公民受保护的加密数据。 加巴德在社交平台X上发布声明称，她与英国方面进行了数月协商，并与唐纳德·特朗普总统及副总统JD·万斯（JD Vance）共同努力达成此项协议。 英国首相基尔·斯塔默（Keir Starmer）周一与其他欧洲领导人一同在华盛顿会晤特朗普，讨论俄罗斯对乌克兰的战争。 英国政府和苹果公司未立即回应关于加巴德声明的置评请求。 美国立法者曾在5月指出，英国命令苹果为其加密用户数据创建后门的做法，可能被网络犯罪分子和专制政府利用。 苹果公司此前声明永远不会在其加密服务或设备中构建此类访问权限，并已向英国调查权力法庭（IPT）提出法律申诉。   今年2月，苹果公司在英国下达命令后，撤回了面向英国用户的高级数据保护（Advanced Data Protection）功能。苹果设备的用户启用该功能后，可确保仅其本人——甚至苹果公司也无法解锁存储在云端的加密数据。 美国官员今年早些时候表示，正在审查英国要求苹果构建后门以访问其加密云存储系统数据备份的行为是否违反双边协议。 在2月25日致美国立法者的信中，加巴德指出，美方正在审查英国政府是否违反《云法案》（CLOUD Act）。该法案禁止英国索取美国公民数据，反之亦然。 网络安全专家向路透社表示，若苹果选择为政府构建后门，该后门最终将被黑客发现并利用。 苹果与监管机构在加密问题上的争端可追溯至2016年，当时美国政府曾试图强迫该公司开发解锁一名极端主义嫌疑人iPhone的工具。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 加拿大金融监管机构披露了一起网络安全事件，导致会员公司及其员工的个人信息遭到泄露。 加拿大投资监管组织（CIRO）作为覆盖全国投资交易商、互惠基金交易商及债务与股权市场交易活动的自律监管机构，于8月11日发现该网络安全威胁。为应对此事件，该机构已主动关闭部分系统以确保安全，并启动调查以确定攻击者的活动范围。 初步调查表明，威胁行为者已获取部分会员公司及其注册员工的个人信息。CIRO在8月18日的公告中表示：“鉴于CIRO对自身及会员机构设定的高标准安全要求，我们对此深感忧虑。当前首要任务是积极排查受影响个体，确认后将直接通知相关人员并提供风险缓释服务”。 目前尚未透露具体泄露数据细节，CIRO承诺将适时更新进展。该机构警示会员警惕冒充监管者的可疑来电或邮件，切勿泄露个人及财务信息。 投资者资金安全 CIRO特别强调，此次事件不会危及加拿大民众的投资安全。“若调查发现投资者信息受影响，我们将直接通知当事人并提供风险缓释服务”。 此次调查由外部网络安全专家、法律团队及执法部门协同推进。关键市场监控功能仍正常运行，股权交易实时监管未受影响。 CIRO成立于2023年，负责制定投资及交易机构的监管标准，有权对违规实体实施罚款等处罚措施。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一位安全研究人员发布了针对 FortiWeb Web 应用防火墙中一个漏洞的部分概念验证（PoC）利用代码。该漏洞允许远程攻击者绕过身份验证。 该漏洞已负责任地报告给 Fortinet，现被追踪为 CVE-2025-52970。Fortinet 已于 8 月 12 日发布了修复程序。 安全研究员 Aviv Y 将此漏洞命名为 FortMajeure，并描述其为“一种本不应发生的静默失效”。从技术上讲，这是 FortiWeb 的 cookie 解析过程中的一个越界读取（out-of-bounds read）漏洞，允许攻击者将 Era参数设置为非预期值。 这导致服务器使用全零密钥（all-zero secret key）进行会话加密和 HMAC 签名，使得伪造身份验证 cookie 变得轻而易举。 成功利用该漏洞会导致完全的身份验证绕过，允许攻击者冒充任何活跃用户，包括管理员。 要成功利用 CVE-2025-52970，目标用户在攻击期间必须拥有活跃会话，并且攻击者必须暴力破解 cookie 中的一个小的数字字段。 这个暴力破解要求源于签名 cookie 中的一个字段，该字段由 libncfg.so中的 refresh_total_logins()函数进行验证。 该字段是一个攻击者必须猜测的未知数字，但研究员指出其范围通常不会超过 30，这使其搜索空间非常小，大约只需 30 次请求。 由于该利用利用了全零密钥（归因于 Era漏洞），每次猜测都可以通过检查伪造的 cookie 是否被接受来即时验证。 该问题影响 FortiWeb 7.0 至 7.6 版本，并已在以下版本中修复： FortiWeb 7.6.4 及更高版本 FortiWeb 7.4.8 及更高版本 FortiWeb 7.2.11 及更高版本 FortiWeb 7.0.11 及更高版本 Fortinet 在公告中表示，FortiWeb 8.0 版本不受此问题影响，因此用户无需采取任何措施。 安全公告未列出任何变通办法或缓解建议，因此升级到安全版本是唯一推荐的有效措施。 Fortinet 给出的 CVSS 严重性评分为 7.7，这可能会产生误导，因为该分数源于“高攻击复杂性”（high attack complexity），而这主要是由于暴力破解的要求。然而在实践中，暴力破解部分操作简单且快速。 研究员分享了一个 PoC 输出结果，展示了在 REST 端点上冒充管理员的情况。不过，他暂时保留了能够通过 /ws/cli/open连接到 FortiWeb CLI 的完整利用代码。 研究员 Aviv Y 承诺稍后将发布完整的漏洞利用细节，因为供应商的公告发布不久。他做出此决定是为了给系统管理员更多时间来应用修复程序。 该研究员告诉 BleepingComputer，已发布的细节展示了问题的核心，但即使对于知识渊博的攻击者来说，也不足以推断出其余部分并开发出完整的武器化利用链。他解释说，攻击者将不得不逆向工程会话中的字段格式，考虑到 Fortinet 拥有自己的数据结构，这实际上并不可行。 尽管如此，必须立即采取行动来缓解此问题，因为黑客会密切关注这些公告，并准备在完整 PoC 出现时发动攻击。 Aviv Y 告诉 BleepingComputer，他尚未决定发布漏洞利用代码的具体日期，但计划给防御者留出时间来应对风险。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 思科披露其安全防火墙管理中心（FMC）软件中存在一个高危远程代码执行（RCE）漏洞（编号CVE-2025-20265，CVSS评分10.0满分）。思科已敦促客户尽快安装更新以防潜在威胁。 该漏洞存在于思科FMC软件的RADIUS子系统实现中。若被利用，未经身份验证的远程攻击者可注入由设备执行的任意shell命令。RADIUS是思科设备采用的访问服务器认证协议，通过验证用户凭证管理网络资源以实现安全访问。 思科在8月14日公告中警告：“此漏洞源于认证阶段对用户输入处理不当。攻击者可通过发送特制输入至配置的RADIUS服务器进行利用，成功后能以高权限级别执行命令。”漏洞影响已启用RADIUS认证的Cisco Secure FMC软件7.0.7和7.7.0版本。 修复方案 该公告属于思科安全公告捆绑发布的一部分，涵盖21项针对思科安全防火墙ASA、FMC和FTD软件的安全通告（共描述29个漏洞）。 思科提供免费更新解决FMC漏洞，持有服务合同的客户可通过常规渠道获取补丁 目前无直接缓解措施，但仅当启用RADIUS认证时漏洞才可被利用 建议切换至本地账户、外部LDAP认证或SAML单点登录（SSO）作为临时方案       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 英国内政部宣布向全国七个警队部署10辆新型实时面部识别警车，为执法人员配备尖端技术以追捕罪犯。 英国内政部承诺，这些警车将遵循严格规则运行。英国国家物理实验室（NPL）已对车载算法的偏见问题展开独立测试，确认该算法准确无误，且未发现针对种族、年龄或性别的偏见迹象。 这些警车仅会在“特定场景且接受严格监管”时启用，同时警员必须遵守监控摄像机操作规范，确保技术使用合规。国家警察局长委员会实时面部识别技术负责人林赛·奇西克声明称：“警方有责任预防犯罪并保障公众安全。实时面部识别技术能提升警务效率，帮助警员快速精准定位嫌疑人。我们相信扩大该技术应用将持续保障全国社区安全。” 南威尔士警察局总警司蒂姆·摩根理解公众对该技术的担忧，但承诺将“以符合道德和法律的方式实施新技术”。他补充道：“关键需明确，本地区使用该技术至今从未导致错误逮捕，且随着技术认知升级，近年未出现任何误报。” 新型警车将于未来数周部署至大曼彻斯特、西约克郡、贝德福德郡、萨里与苏塞克斯、泰晤士河谷及汉普郡的警队。 民间组织“老大哥观察”对此扩张表示强烈反对。该组织临时主任丽贝卡·文森特回应称：“这种前所未有的监控技术扩张令人震惊，标志着监控国家的重大升级。实时面部识别将路人变为行走的条形码，将全民视为潜在嫌疑对象。”她强调：“此举不仅威胁隐私权，更危害民主根基。内政部必须停止推广计划，直至建立完善的立法保障。” 过去一年中，伦敦警察厅与南威尔士警局已运用该技术。数据显示，伦敦警方通过面部识别技术逮捕580名涉及强奸、家暴、持械犯罪、严重伤害及抢劫的嫌犯，另有52名登记在案的性犯罪者因违反监管条件被捕。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Zoom与施乐（Xerox）已修复其Windows客户端和FreeFlow Core中的高危安全漏洞，这些漏洞可能导致权限提升及远程代码执行。 影响Zoom Windows客户端的漏洞（CVE-2025-49457，CVSS评分9.6）涉及非可信路径搜索问题，可能引发权限提升。Zoom在周二的安全公告中表示：“特定Zoom Windows客户端的非可信路径搜索漏洞，或导致未认证攻击者通过网络访问实现权限提升。”该漏洞由Zoom内部攻防安全团队发现，影响以下产品： Zoom Workplace for Windows 6.3.10之前版本 Zoom Workplace VDI for Windows 6.3.10之前版本（6.1.16和6.2.12除外） Zoom Rooms for Windows 6.3.10之前版本 Zoom Rooms Controller for Windows 6.3.10之前版本 Zoom Meeting SDK for Windows 6.3.10之前版本 同时，施乐FreeFlow Core披露了多个漏洞，其中最严重的可导致远程代码执行。这些问题已在8.0.4版本中修复，包括： CVE-2025-8355（CVSS评分7.5）：XML外部实体注入（XXE）漏洞，可触发服务端请求伪造（SSRF） CVE-2025-8356（CVSS评分9.8）：路径遍历漏洞，可引发远程代码执行 安全公司Horizon3.ai指出：“这些漏洞利用门槛低，一旦被利用，攻击者可在受影响系统上执行任意命令、窃取敏感数据，或尝试横向渗透企业环境扩大攻击范围。”研究员吉米·塞布里解释称，CVE-2025-8355源于处理作业消息格式（JMF）的二进制文件（jmfclient.jar）未对XML外部实体进行清理或限制，导致攻击者可构造特殊请求实施SSRF攻击；而CVE-2025-8356则因XML解析程序对文件上传类JMF命令处理不当，使得攻击者能通过构造HTTP请求将Web Shell植入公开可访问路径。“虽然4004端口的服务本身无法提供执行该文件的功能，但主Web门户具备执行和传递恶意负载的全部能力。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 超过29,000台暴露在互联网上的Exchange服务器仍未修复一个高危漏洞（CVE-2025-53786），该漏洞可使攻击者在微软云环境中横向移动，可能导致整个域沦陷。已获取本地Exchange服务器管理员权限的攻击者可利用此漏洞在组织关联的云环境中提升权限，通过伪造或操纵可信令牌或API调用实现权限升级，且不留易于检测的痕迹，使攻击行为难以追踪。 CVE-2025-53786影响采用混合部署的Exchange Server 2016、Exchange Server 2019及采用订阅制替代永久许可模式的Microsoft Exchange Server订阅版。该漏洞在微软2025年4月作为“安全未来倡议”的一部分发布修复指南和热更新时被披露，该倡议支持使用专用混合应用替代本地Exchange Server与Exchange Online此前使用的不安全共享身份验证架构。 尽管微软尚未发现该漏洞在攻击中被利用的证据，但仍将其标记为“极有可能被利用”，因其认为攻击者可能开发出可稳定利用的漏洞代码，从而增加其吸引力。安全威胁监控平台Shadowserver的扫描数据显示，超过29,000台Exchange服务器仍未修复此漏洞。截至8月10日检测到的29,098台未修复服务器中，美国占7,200余台，德国超6,700台，俄罗斯逾2,500台。 漏洞披露次日，美国网络安全和基础设施安全局（CISA）发布第25-02号紧急指令，要求所有联邦文职行政部门机构（含国土安全部、财政部及能源部）于东部时间周一9点前缓解此高危漏洞。联邦机构需先通过微软健康检查脚本清点Exchange环境，并将不再受2025年4月热更新支持的公开服务器（如已终止支持或服务的Exchange版本）与互联网断开。其余服务器须升级至最新累积更新（Exchange 2019需CU14/CU15，Exchange 2016需CU23）并安装微软4月热补丁。 CISA在单独公告中警告，未能修复该漏洞可能导致“混合云与本地环境完全域沦陷”。尽管非政府组织未被强制要求执行紧急指令，但CISA强烈建议所有机构采取相同措施防护系统。代理局长马杜·戈图穆卡拉强调：“此漏洞风险波及所有使用该环境的组织与部门，联邦机构虽被强制要求，但我们强烈敦促各方实施紧急指令中的行动。”       消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文